ФСТЭК начала отзывать сертификаты за неисправленные уязвимости

Федеральная служба по техническому и экспортному контролю отозвала сертификаты соответствия для операционной системы PAN-OS 4.0.
Федеральная служба по техническому и экспортному контролю (ФСТЭК) начала аннулировать сертификаты соответствия для разработчиков ПО за наличие в их продуктах неисправленных уязвимостей.
Как следует из сообщения службы, ФСТЭК приняла решение аннулировать сертификаты соответствия, выданные АО «РНТ» на операционную систему для межсетевых экранов PAN-OS 4.0, используемую для защиты информации ограниченного доступа в государственных информационных системах. Сертификаты аннулированы для PAN-OS 4.0 серий РА-4000, РА-5000, РА-500 и РА-2000.
Причиной отзыва сертфикатов названо выявление в ОС уязвимостей, для которых компания-разработчик Palo Alto Networks Inc. не выпустила соответствующие исправления.
«Выявленные уязвимости включены в базу уязвимостей Банка данных угроз безопасности информации ФСТЭК России […] им присвоен критический уровень опасности, идентификаторы уязвимостей BDU:2017-02120 и BDU:2017-02237», - следует из заявления службы.
Ведомство порекомендовало пользователям прекратить использование PAN-OS 4.0 и перейти на аналогичные защитные решения, сертифицированные на соответствие «Требованиям к межсетевым экранам», утвержденным приказом ФСТЭК России от 9 февраля 2016 года N 9.
Банк данных угроз ФСТЭК содержит информацию, что перечисленные выше уязвимости имеют исправление от производителя, но по требованиям ФСТЭК всем новым версиям с исправлениями также требуется пройти сертификацию.